IDS在空管CDM系統(tǒng)中的應用分析

張浚川

摘 要 本文通過介紹入侵檢測系統(tǒng)，對民航空管CDM系統(tǒng)的安全分析，提出基于啟明星辰“天闐”入侵檢測系統(tǒng)的民航空管CDM系統(tǒng)安全方案，為設備的網(wǎng)絡安全保障提供新的思路。

【關(guān)鍵詞】CDM 網(wǎng)絡安全 防火墻 入侵檢測 天闐

1 引言

隨著計算機系統(tǒng)在民用航空領(lǐng)域的廣泛使用，設備的網(wǎng)絡安全也面臨越來越多挑戰(zhàn)。隨著網(wǎng)絡攻擊手段的復雜化、多樣化，單純依靠防火墻等被動防御手段已難以勝任安全需要，入侵檢測技術(shù)是繼防火墻等傳統(tǒng)安全保護后的新一代網(wǎng)絡安全保障技術(shù)。本文通過對民航空管CDM系統(tǒng)安全分析，提出通過加入啟明星辰“天闐”入侵檢測系統(tǒng)的民航空管CDM系統(tǒng)安全方案，為設備的網(wǎng)絡安全保障提供新的思路。

2 IDS介紹

IDS即“入侵檢測系統(tǒng)”。它以數(shù)據(jù)挖掘為基礎(chǔ)，按照一定的安全策略，對網(wǎng)絡、系統(tǒng)的運行狀況進行監(jiān)視，通過分析網(wǎng)絡行為不斷建立和完善針對性的規(guī)律庫，盡可能識別各種攻擊，以保證網(wǎng)絡系統(tǒng)資源的安全。

2.1 IDS與防火墻的區(qū)別與聯(lián)系

防火墻是設置在被保護網(wǎng)絡（本地網(wǎng)絡）和外部網(wǎng)絡之間的一道防御系統(tǒng)，它可以通過檢測、限制穿越防火墻的數(shù)據(jù)流，盡可能的對外屏蔽內(nèi)部網(wǎng)絡信息、結(jié)構(gòu)和狀態(tài)。而IDS是對入侵行為的發(fā)覺，通過從計算機網(wǎng)絡收集信息并進行分析，從而發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中違反安全策略的行為和被攻擊的跡象。

通俗來講，防火墻是一幢大樓的門，它根據(jù)條件限制人員出入，人員一旦通過大門便不受任何限制；而IDS是大樓里的監(jiān)視預警系統(tǒng)，通過對進入大樓人員進行實時行為監(jiān)控和分析，發(fā)現(xiàn)人員的不安全行為可立即做出反應。因此，IDS是對防火墻弱點的補充，是繼防火墻之后的又一道防線。同時，IDS可以及時發(fā)現(xiàn)一些防火墻沒有發(fā)現(xiàn)的入侵行為，總結(jié)出入侵行為的規(guī)律，而防火墻就可以將這些規(guī)律加入規(guī)則之中，提高保護力度。

2.2 啟明星辰“天闐”IDS介紹

“天闐”是啟明星辰新一代IDS產(chǎn)品，對于各種病毒、木馬、網(wǎng)絡攻擊均有良好的檢測效果。它可以事件進行關(guān)聯(lián)分析，識別重要報警提醒用戶。其特有的報表對比分析的方法，讓使用者對近期的安全狀況一目了然，不再需要在海量日志數(shù)據(jù)中進行人工分析，減輕了工作量和難度。

3 民航云南空管分局CDM系統(tǒng)現(xiàn)狀分析

CDM（Airport Collaborative Decision Making機場協(xié)同決策機制），主要使空管、航空公司和機場三者利用互聯(lián)的計算機平臺進行信息交換和數(shù)據(jù)共享，通過合理的決策工具提高空中交通流量管理工作的效率，應對預計或突發(fā)的流量擁堵和沖突事件的一種協(xié)商解決機制。

民航云南空管分局使用的是北京民航數(shù)據(jù)通信公司（以下簡稱“數(shù)據(jù)公司”）的CDM系統(tǒng)，該系統(tǒng)運行穩(wěn)定，邏輯高效，界面簡潔，維護方便，但在安全性上略有不足。

（1）CDM系統(tǒng)的服務器及終端均為Windows操作系統(tǒng)，U盤等外部設備接口未做限制，感染病毒及木馬的概率較高，即使是針對普通家用電腦的病毒和木馬也可能使其感染，甚至崩潰.

（2）CDM系統(tǒng)結(jié)構(gòu)雖然簡單，且為內(nèi)部專用網(wǎng)絡，與互聯(lián)網(wǎng)隔離，但是其設備與空管、機場多個外部系統(tǒng)相連，同時又為機場及航空公司等其他單位提供終端服務，風險節(jié)點多且分散，安全威脅較大。

（3）CDM系統(tǒng)僅使用一臺防火墻作安全隔離，防護薄弱，一旦被外部入侵者突破即失去防御能力，而防火墻本身又需要復雜的配置才能發(fā)揮最大效用。

（4）該系統(tǒng)與電子進程單系統(tǒng)直接相連，中間并無邊界隔離措施，倘若電子進程單系統(tǒng)出現(xiàn)安全威脅，CDM也將很大概率受到牽連。

4 “天闐”IDS在民航CDM系統(tǒng)中的應用分析

4.1 “天闐”IDS的部署

如圖1所示，在民航云南空管分局的CDM系統(tǒng)拓撲中，成都CDM系統(tǒng)、AIMS系統(tǒng)引接數(shù)據(jù)以及機場和航空公司等外部用戶均是通過路由器接入的，只有一臺華為Secoway USG2000防火墻作為安全邊界隔離。由于此網(wǎng)絡規(guī)模較小，結(jié)構(gòu)相對扁平，只需要在防火墻后端交換機上部署一臺IDS，再在CDM的監(jiān)控終端上安裝相關(guān)軟件和數(shù)據(jù)庫，由CDM監(jiān)控終端兼職IDS服務器。這樣，由防火墻負責限制非法訪問，屏蔽內(nèi)部信息，由IDS負責實時檢測分析入侵行為，兩者相互合作相互補充，即可有效提高安全等級，如圖2所示。

4.2 “天闐”IDS的使用

作為工作人員，我們可以在任意內(nèi)部網(wǎng)絡的計算機使用瀏覽器登錄訪問“天闐”入侵檢測管理系統(tǒng)。

可以在“今日狀態(tài)”頁面中查看最近24小時的病毒事件及網(wǎng)絡威脅狀況，并提供最近30天內(nèi)安全事件的日均發(fā)生次數(shù)，便于判斷系統(tǒng)當下整體安全水平，如圖3所示。

由于CDM系統(tǒng)專網(wǎng)專用，網(wǎng)絡安全事件并不會像互聯(lián)網(wǎng)中那樣頻繁。這時候“日志報表”功能就顯得尤為重要了。它可以對報表的類型、周期或非周期時間段、文件格式等進行選擇，然后設置導出任務讓其自動執(zhí)行。這樣就方便系統(tǒng)維護人員在一個較長時間段內(nèi)對系統(tǒng)的網(wǎng)絡安全進行宏觀把控，如圖4所示。

“天闐”IDS除了自身可對一些威脅進行防御以外，還能通過SNMP TRAP的方式為第三方提供數(shù)據(jù)，并且能和防火墻聯(lián)動，共同防御網(wǎng)絡攻擊。對于一些突發(fā)的、緊急且危險的安全威脅，系統(tǒng)可通過郵件（需要外網(wǎng)）或短信的方式給維護人員發(fā)送消息，方便及時處理。

“天闐”IDS功能還具備流量、升級、日志、組件等多個管理功能，可以便捷有效的對網(wǎng)絡及IDS自身進行管控。

5 IDS的部署展望

啟明星辰“天闐”IDS具備從百兆到超萬兆的產(chǎn)品線，即便是在如CDM一樣的全國性大規(guī)模分布式部署環(huán)境也能從容應對?！疤礻D”IDS支持組織化管理，若是由數(shù)據(jù)公司統(tǒng)一升級安裝，則管理更加方便高效：整個CDM系統(tǒng)內(nèi)的“天闐”IDS設備可通過“升級管理”功能向全系統(tǒng)IDS逐級分發(fā)升級數(shù)據(jù)包，自動完成升級；同時其特有的網(wǎng)絡入侵定位系統(tǒng)，可以將看似毫無聯(lián)系的實時報警信息通過地理信息、網(wǎng)絡結(jié)構(gòu)和IP定位結(jié)合顯示在圖形化的界面上，為從源頭上消除網(wǎng)絡威脅提供依據(jù)；另外，對于CDM系統(tǒng)安全性的宏觀把握也有利于找出系統(tǒng)本身安全性的不足，對本系統(tǒng)乃至其他系統(tǒng)安全性的提升也有很大幫助。

參考文獻

[1]北京啟明星辰信息安全技術(shù)有限公司.天闐入侵檢測與管理系統(tǒng)（內(nèi)部資料）.

[2]付玉珍.計算機網(wǎng)絡入侵檢測技術(shù)研究進展[J].茂名學院學報，2007（12）：120-122.

[3]耿麥香.網(wǎng)絡入侵檢測技術(shù)研究綜述[J].網(wǎng)絡安全技術(shù)與應用，2004（06）：28-30.